Art. 41
Regime transitorio e abrogazioni
1. Le disposizioni di cui al presente decreto si applicano a
decorrere dal 18 ottobre 2024.
2. A decorrere dal 18 ottobre 2024 il decreto legislativo 18 maggio
2018, n. 65, e' abrogato, a esclusione dell'articolo 7, comma 8, e
dell'articolo 8, comma 10, che sono abrogati dal 1° gennaio 2025. I
capi IV e V del medesimo decreto legislativo n. 65 del 2018
continuano a trovare applicazione nei confronti dei soli soggetti di
cui all'articolo 3, comma 9, lettera a), fino alla data di adozione
dei provvedimenti attuativi di cui all'articolo 40, commi 1, 2, 3, 4
e 5, lettere a), b), e) e f).
3. Al codice delle comunicazioni elettroniche, di cui al decreto
legislativo 1° agosto 2003, n. 259, sono apportate le seguenti
modificazioni:
a) all'articolo 2, comma 1, la lettera h) e' abrogata;
b) l'articolo 30, comma 26, e gli articoli 40 e 41 sono abrogati.
4. I provvedimenti attuativi degli articoli 40 e 41 del codice di
cui al decreto legislativo n. 259 del 2003 continuano a trovare
applicazione, per quanto non in contrasto con la legge e con le
disposizioni del presente decreto, fino all'adozione delle
determinazioni di cui all'articolo 40, comma 5, lettera l).
Note all'art. 41:
- Il decreto legislativo 18 maggio 2018, n. 65,
abrogato, a decorrere dal 18 ottobre 2024 dal presente
decreto, reca: «Attuazione della direttiva (UE) 2016/1148
del Parlamento europeo e del Consiglio, del 6 luglio 2016,
recante misure per un livello comune elevato di sicurezza
delle reti e dei sistemi informativi nell'Unione», ed e'
pubblicato nella Gazzetta Ufficiale 9 giugno 2018, n. 132.
- Si riporta il testo degli articoli 7, comma 8, e 8,
comma 10, del citato decreto legislativo 18 maggio 2018, n.
65, abrogati, a decorrere dal 1° gennaio 2025 dal presente
decreto:
«Art. 7 (Autorita' nazionale competente e punto di
contatto unico). - 1. - 7. Omissis.
8. Agli oneri derivanti dal presente articolo, pari a
1.300.000 euro annui a decorrere dall'anno 2018, si
provvede ai sensi dell'articolo 22.»
«Art. 8 (Gruppi di intervento per la sicurezza
informatica in caso di incidente - CSIRT). - 1. - 9.
Omissis.
10. Per le spese relative al funzionamento del CSIRT
Italia e' autorizzata la spesa di 2.000.000 di euro annui a
decorrere dall'anno 2020. A tali oneri si provvede ai sensi
dell'articolo 22.».
- I capi IV e V del citato decreto legislativo 18
maggio 2018, n. 65 recano, rispettivamente, «Sicurezza
della rete e dei sistemi informativi degli operatori di
servizi essenziali» e «Sicurezza della rete e dei sistemi
informativi dei fornitori di servizi digitali».
- Si riporta il testo dell'articolo, 2, comma 1,
lettera h), dell'articolo 30, comma 26, e degli articoli 40
e 41 del decreto legislativo 1° agosto 2003, n. 259,
(Codice delle comunicazioni elettroniche), pubblicato in
Gazzetta Ufficiale il 15 settembre 2003, abrogati dal
presente provvedimento:
«Art. 2 (Definizioni). - 1. Ai fini del presente
decreto si intende per:
a) - g). Omissis.
h) apparecchiature terminali: apparecchiature
terminali quali definite all'articolo 1, comma 1), del
decreto legislativo 26 ottobre 2010 n. 198;
i) - dddd). Omissis.».
«Articolo 30 (Sanzioni). - 1.- 25. Omissis.
26. Salvo che il fatto non costituisca reato,
l'inosservanza delle disposizioni in materia di sicurezza
informatica e' punita, con una sanzione amministrativa
pecuniaria:
a) da euro 250.000 a euro 1.500.000 per
l'inosservanza delle misure di sicurezza di cui
all'articolo 40, comma 3, lettera a);
b) da euro 300.000 ad euro 1.800.000 per la mancata
comunicazione di ogni incidente significativo di cui
all'articolo 40, comma 3, lettera b);
c) da euro 200.000 a euro 1.000.000 per la mancata
fornitura delle informazioni necessarie per valutare la
sicurezza di cui all'articolo 40, comma 3, lettera a).
27. - 27-quinquies. Omissis.».
«Art. 40 (Sicurezza delle reti e dei servizi). - 1.
L'Agenzia, sentito il Ministero, per quanto di rispettiva
competenza e tenuto conto delle misure tecniche e
organizzative che possono essere adottate dalla Commissione
europea, ai sensi dell'articolo 40, paragrafo 5, della
direttiva (UE) 2018/1972, individua:
a) adeguate e proporzionate misure di natura
tecnica e organizzativa per gestire i rischi per la
sicurezza delle reti e dei servizi di comunicazione
elettronica accessibili al pubblico, assicurando un livello
di sicurezza adeguato al rischio esistente, tenuto conto
delle attuali conoscenze in materia. Tali misure, che
possono comprendere, se del caso, il ricorso a tecniche di
crittografia, sono anche finalizzate a prevenire e limitare
le conseguenze per gli utenti, le reti interconnesse e gli
altri servizi, degli incidenti che pregiudicano la
sicurezza;
b) i casi in cui gli incidenti di sicurezza siano
da considerarsi significativi ai fini del corretto
funzionamento delle reti o dei servizi.
2. Nella determinazione dei casi di cui al comma 1,
lettera b), l'Agenzia considera i seguenti parametri, se
disponibili:
a) il numero di utenti interessati dall'incidente
di sicurezza;
b) la durata dell'incidente di sicurezza;
c) la diffusione geografica della zona interessata
dall'incidente di sicurezza;
d) la misura in cui e' colpito il funzionamento
della rete o del servizio;
e) la portata dell'incidenza sulle attivita'
economiche e sociali.
3. Le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico:
a) adottano le misure individuate dall'Agenzia di
cui al comma 1, lettera a);
b) comunicano all'Agenzia e al Computer Security
Incident Response Team (CSIRT), istituito ai sensi
dell'articolo 8 del decreto legislativo 18 maggio 2018, n.
65, ogni significativo incidente di sicurezza secondo
quanto previsto dal comma 1, lettera b).
4. L'Agenzia puo' informare il pubblico o imporre
all'impresa di farlo, ove accerti che la divulgazione della
notizia dell'incidente di sicurezza di cui al comma 1,
lettera b), sia nell'interesse pubblico. Se del caso,
l'Agenzia informa le Autorita' competenti degli altri Stati
membri e l'Agenzia dell'Unione europea per la sicurezza
delle reti e dell'informazione (ENISA).
5. L'Agenzia, anche avvalendosi del CSIRT, provvede
direttamente o per il tramite dei fornitori di reti e
servizi di comunicazione elettronica ad informare gli
utenti potenzialmente interessati da minaccia particolare e
significativa di incidenti di sicurezza, riguardo a
eventuali misure di protezione o rimedi cui possono
ricorrere.
6. L'Agenzia trasmette ogni anno alla Commissione
europea e all'Agenzia dell'Unione europea per la sicurezza
delle reti e dell'informazione una relazione sintetica
delle notifiche ricevute e delle azioni adottate
conformemente al presente articolo.
7. L'Agenzia, nelle tematiche di cybersicurezza,
fatta eccezione per gli ambiti in cui la legge attribuisce
specifiche competenze ad altre amministrazioni, collabora
con le autorita' competenti degli altri Stati membri e con
i competenti organismi internazionali e dell'Unione europea
al fine di definire procedure e norme che garantiscano la
sicurezza dei servizi.
8. In caso di notifica di incidente di sicurezza che
determini anche una violazione di dati personali, l'Agenzia
fornisce, senza ritardo, al Garante per la protezione dei
dati personali le informazioni utili ai fini di cui
all'articolo 33 del Regolamento UE 2016/679.».
«Art. 41 (Attuazione e controllo). - 1. Le misure
adottate ai fini dell'attuazione del presente articolo e
dell'articolo 40 sono approvate con provvedimento
dell'Agenzia.
2. I fornitori di reti pubbliche di comunicazione
elettronica o di servizi di comunicazioni elettroniche
accessibili al pubblico adottano le istruzioni vincolanti
eventualmente impartite dall'Agenzia, anche con riferimento
alle misure necessarie per porre rimedio a un incidente di
sicurezza o per evitare che si verifichi nel caso in cui
sia stata individuata una minaccia significativa.
3. Ai fini del controllo del rispetto dell'articolo
40 le imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico sono tenute a:
a) fornire all'Agenzia le informazioni necessarie
per valutare la sicurezza delle loro reti e dei loro
servizi, in particolare i documenti relativi alle politiche
di sicurezza;
b) sottostare a verifiche di sicurezza effettuate
dall'Agenzia o da un organismo qualificato indipendente
designato dalla medesima Agenzia. L'impresa si assume
l'onere finanziario della verifica.
4. L'Agenzia ha la facolta' di indagare i casi di
mancata conformita' nonche' i loro effetti sulla sicurezza
delle reti e dei servizi. I fornitori di reti pubbliche di
comunicazione elettronica o di servizi di comunicazioni
elettroniche accessibili al pubblico che indirizzano o
raccolgono traffico per servizi offerti sul territorio
nazionale sono tenuti a fornire le informazioni e i dati
necessari alle indagini.
5. L'Agenzia, se del caso, consulta l'Autorita', le
Autorita' di contrasto nazionali, il Garante per la
protezione dei dati personali, e coopera con esse.
6. Nel caso in cui l'Agenzia riscontri il mancato
rispetto del presente articolo e dell'articolo 40 ovvero
delle disposizioni attuative previste dai commi 1 e 2 da
parte delle imprese che forniscono reti pubbliche di
comunicazioni o servizi di comunicazione elettronica
accessibili al pubblico, si applicano le sanzioni di cui
all'articolo 30, commi da 2 a 21.».